基于智能卡的匿名認證與密鑰協(xié)商協(xié)議

張 平 賈亦巧 王杰昌 付主木

1(河南科技大學數(shù)學與統(tǒng)計學院 河南 洛陽 471023) 2(鄭州大學體育學院計算機教研室 河南 鄭州 450044) 3(河南科技大學信息工程學院 河南 洛陽 471023)

0 引 言

伴隨移動通信與網(wǎng)絡技術的飛躍,現(xiàn)如今,諸多的業(yè)務活動都依靠網(wǎng)絡進行,如社交通信、移動支付與線上購物等。網(wǎng)絡的確使人們的工作生活變得高效便捷,但同時也引發(fā)了一些安全隱患,使得信息安全與隱私保護成為了社會普遍關注的問題。因此,提升客戶在使用網(wǎng)絡時的安全性與隱私性具有極其重要的研究價值,如何保證客戶與服務提供方之間進行安全的匿名認證與密鑰協(xié)商成為亟須解決的問題。

作為密碼學中廣泛使用的協(xié)議,認證與密鑰協(xié)商協(xié)議可使通信方之間建立共享會話密鑰,并以此實現(xiàn)開放網(wǎng)絡中的安全通信[1]。Diffie等[2]提出兩方的密鑰協(xié)商協(xié)議;Shamir[3]提出基于身份的密碼體制;Boneh等[4]依據(jù)雙線性對理論提出基于身份的加密協(xié)議。之后,研究者們不斷提出基于身份與雙線性對的認證密鑰協(xié)商協(xié)議[5-7],但雙線性映射存在運算速度較慢[8-9]等問題。為提升計算效率,部分基于身份和橢圓曲線加密理論的認證協(xié)議[10-15]被提出,但其中大都沒有考慮客戶的匿名性。

近年來,將不易遺忘、關聯(lián)度大且便于提取的生物特征作為認證要素的生物認證技術正蓬勃發(fā)展[16-20]。因此,本文嘗試將智能卡、口令與生物認證相結合,提出一個新的基于智能卡的匿名認證與密鑰協(xié)商協(xié)議,并基于橢圓曲線上的計算性Diffie-Hellman假設(CDH假設),結合eCK安全模型[18]與隨機預言機模型證明了協(xié)議具有前向安全、會話臨時秘密泄露安全、抗重放攻擊、抗主動攻擊、抗偽造攻擊、抗中間人攻擊、抗內(nèi)部特權人員攻擊、抗密鑰泄露偽裝、抗智能卡丟失攻擊等安全屬性。相較于現(xiàn)有協(xié)議,本文協(xié)議不但具有良好的安全性,也具有較高的通信效率與實用性。

1 預備知識

1.1 抗碰撞的單向Hash函數(shù)

Hash函數(shù)是一種可將任意長的消息M映射為較短且定長值的公開函數(shù)。抗碰撞的單向Hash函數(shù)H(·)滿足以下性質(zhì)[21]:

性質(zhì)1已知M,易計算h=H(M)。

性質(zhì)2已知H′,求使得H(M)=h的M在計算上不可行。

性質(zhì)3已知M,找到M′(M′≠M),使得H(M′)=H(M)在計算上不可行。

性質(zhì)4找到M與M′(M′≠M),使得H(M′)=H(M)在計算上不可行。

1.2 橢圓曲線上的CDH假設

1.3 安全模型的定義

(1)Corrupt(IDC)查詢:S返回客戶C(身份為IDC)的私鑰給A(模擬前向安全性)。

(5)SmartcardReveal(IDC,smartcard):S返回客戶C擁有的智能卡中的信息給A(模擬智能卡丟失攻擊)。

(6)BiometricReveal(IDC,t)查詢:S返回客戶C對應的生物特征信息給A。

最后,A輸出對Test查詢中b的猜測值b′,若有b′=b,則A贏得游戲,定義其獲勝的優(yōu)勢概率為:

式中:k為安全參數(shù)。

定義3匿名認證與密鑰協(xié)商協(xié)議在滿足以下兩個條件時為安全協(xié)議:

(2) 任意概率多項式時間內(nèi),敵手A獲勝的優(yōu)勢概率AdvA(k)可忽略。

1.4 生物特征的優(yōu)點

生物特征具有穩(wěn)定性,便于提取且占據(jù)較少空間[23]。此外,生物特征與客戶之間具有極大關聯(lián)度,難以被偽造或者截獲,這種唯一性便于證明客戶的真實身份。與僅基于口令相比,借助生物特征識別的身份認證是一種更加可靠的認證方式。

1.5 符號說明

本文主要用到的符號的含義如表1所示。

表1 主要符號含義

2 匿名認證與密鑰協(xié)商協(xié)議

協(xié)議包括初始化、注冊、認證協(xié)商、口令變更和智能卡權限回收5個階段,其中所提及的部分符號含義見表1。

2.1 初始化階段

SP選擇安全且抗碰撞的單向Hash函數(shù):

H2:{0,1}*×{0,1}*→{0,1}l

2.2 注冊階段

(2)SP檢查IDC是否已存在于數(shù)據(jù)庫,若為首次注冊,設定其注冊參數(shù)NC=0,若為再次注冊,則設定為NC=1。SP儲存注冊信息I=(IDC‖T‖NC)于數(shù)據(jù)庫,其中T為當前時間戳。

YC=yCP,FC=H1(IDC,YC),dC=yC+xFC

YSP=ySPP,FSP=H1(IDSP,YSP),dSP=ySP+xFSP

AIDC=H(IDC‖IDSP‖x)

IDAC=H(AIDC‖CPWC‖t)

MC=H(IDC‖CPWC‖t)

其中:YC與dC作為C的公鑰與私鑰;YSP與dSP作為SP的公鑰與私鑰;AIDC為加密身份信息;IDAC為賬戶索引;MC為智能卡驗證信息。

(4)SP為C創(chuàng)建賬戶(IDAC,IDC,account)并將之秘密保存(account中含有客戶的交易信息及要求的服務類型等信息),同時為C分配一個智能卡:

smartcard={AIDC,IDSP,MC,FC,YC,dC}

2.3 認證協(xié)商階段

(1)C插入智能卡至移動設備,提取生物特征t,輸入IDC、CPWC與t。之后,智能卡對合法客戶進行認證,即計算CPWC=H(μ‖PWC),并驗證:

假若等式不成立,則立即結束認證;否則,可繼續(xù)進行下列操作。

RC=rP,R=rPKSP,U=H(IDSP‖R‖TC)

D=H(AIDC‖CPWC‖t)⊕H(R‖U)

其中:RC為共享秘密;U為驗證信息;(R,D)為新的客戶簽名。C→SP:m1=(D,YC,RC,TC),其中m1為服務請求。

(3)SP接收m1后,對TC的有效性進行檢驗,假若無效,則立即結束認證;否則,可繼續(xù)執(zhí)行下列操作。

(4)SP計算:

R=xRC,U=H(IDSP‖R‖TC)

IDAC=D⊕H(R‖U)

并在數(shù)據(jù)庫中進行檢索,若與IDC對應的客戶不存在,則立即結束認證;否則,便可找到客戶信息,即說明客戶通過了服務提供方的驗證。

(7)C接收m2,計算共享秘密KC1=rPS+dCRSP、KC2=dCPS、KC3=rRSP(其中PS=YSP+FSPPKSP),以及會話密鑰SKCS=H2(IDC‖IDSP‖RC‖RSP,KC1‖KC2‖KC3)。

上述認證協(xié)商的過程如圖1所示。

圖1 協(xié)議的認證協(xié)商過程

2.4 口令變更階段

合法客戶C插入智能卡至移動設備,提取特征信息t,輸入IDC、PWC與t,申請進行口令更改。智能卡進行下列操作:

2.5 智能卡權限回收階段

C申請對智能卡權限進行回收,SP進行下列操作:

(1) 通過索引IDAC查找對應客戶的IDC。

3 協(xié)議分析

3.1 協(xié)議的正確性分析

協(xié)議的正確性可由如下等式證明:

(1)

KC2=dCPS=dCdSPP=dSPPC=KS2

(2)

(3)

由式(1)-式(3)可得SKSC=SKCS,即得到相同會話密鑰。

3.2 協(xié)議的安全性分析

定理1在橢圓曲線上的CDH假設成立的條件下,本文所提的匿名認證與密鑰協(xié)商協(xié)議是安全的。

(4)Corrupt(IDi)查詢:S收到該查詢后,若存在元組(IDi,di,Yi)∈Lc(其中di=yi+xFi),則返回di;否則,進行H1(IDi,*)查詢獲得元組(IDi,*,Fi),隨后:

① 若有i=J,則計算Yi=aP-FiPKSP,并將(IDi,⊥,Yi)插入Lc,報錯終止(E1)。

S收到該查詢后:

④ 設置f=1。

③ 否則,若有di≠⊥,計算:

若有di=⊥,計算:

(8)SmartcardReveal(IDi,smartcard):S收到該查詢后,若存在IDi的智能卡信息,則返回smartcard;否則,S返回⊥。

(9)BiometricReveal(IDi,t)查詢:S收到該查詢后,若存在IDi的生物特征信息,則返回t;否則,S返回⊥。

結果分析:

此外,當A獲得了客戶的生物特征信息與智能卡信息時,依據(jù)μ的隨機性以及抗碰撞的單向Hash函數(shù)的性質(zhì)可知,A只能通過隨機猜測IDC與CPWC并通過查詢偽裝成客戶進行認證,在此條件下最終取得真實會話密鑰的概率可忽略,即敵手無法假冒合法客戶,進而保證了客戶的匿名性。協(xié)議中時戳的設定保證了協(xié)議抵抗重放攻擊。智能卡回收階段的設定也保證了協(xié)議具有抵抗智能卡丟失攻擊的能力。

3.3 性能對比分析

下面針對計算效率與安全性能兩個方面,將本文協(xié)議同最近提出的相關認證協(xié)議[24-25]進行了對比分析。

(1) 計算開銷方面,主要針對認證密鑰協(xié)商階段進行了橢圓曲線上的點乘運算(EM)、Hash函數(shù)運算(EH)、雙線性映射運算(Epm)的考察,忽略不計輕量級⊕、‖計算;通信開銷方面,則主要考察信息交互次數(shù)。具體對比結果如表2所示。

表2 計算性能對比(次數(shù))

因雙線性對的計算涉及復雜的數(shù)據(jù)結構和數(shù)學運算[26],其相關計算開銷幾乎是橢圓曲線點乘的20倍[27],故實現(xiàn)效率較低、耗時較多。由表2可知,本文協(xié)議與文獻[24]相比具有更低的計算開銷,而與文獻[25]相比,計算差別不大。由信息交互次數(shù)可知,本文協(xié)議的通信效率與文獻[25]一致,高于文獻[24]。

(2) 通過相應的安全性分析與證明,本文協(xié)議與文獻[24-25]的安全性對比結果如表3所示,其中:“√”表示滿足此類屬性;“×”表示不滿足此類屬性。

表3 安全性能對比

可以看出,文獻[24]存在無法抵抗重放攻擊等安全問題,文獻[25]則無法提供客戶匿名性,而本文協(xié)議可以克服這些缺陷,并且能夠抵擋其他常見的攻擊,具有良好的安全性。

綜上分析,本文協(xié)議相較于現(xiàn)有的認證協(xié)議[24-25]而言,在計算和通信效率及安全性能方面具有一定的優(yōu)勢,本文的匿名認證與密鑰協(xié)商協(xié)議更具實用性和可操作性。

4 結 語

本文結合智能卡與生物認證技術等方法,設計一種安全的匿名認證與密鑰協(xié)商協(xié)議,并在強安全模型與隨機預言機模型下基于橢圓曲線上的CDH假設給出協(xié)議安全性的形式化證明。綜合分析,本文協(xié)議有效地增強了認證協(xié)商過程的安全性與便捷性,同時保證了客戶的匿名性,易于在管理信息系統(tǒng)領域推廣應用。